본문 바로가기

몽땅보기

CVE-2014-0160 OpenSSL heartbleed 취약점 최근 핫 이슈 !!!!“OpenSSL – HeartBleed Bug”댁에 서버는 안녕들 하신가요?? 그럼, 이제 취약점 관점에서 좀 살펴보도록 하겠습니다.... 역시나 취약점에서 빼 놓을 수 없는 경계체크 즉 쉬운 말로 길이체크가 또 문제네요 .. TLS HeatBeat 도 웹서버의 Trace 메쏘드와 같이 요청 페이로드를 받으면 받은 메시지를 그대로 응답 페이로드에 담아서 보내게 됩니다. 이때, 복사할 만큼의 요청 페이로드가 존재하는 지 확인도 하지 않고 바로 메모리를 복사해서 응답 패킷을 만들어 버립니다...... 좀 더 상세한 정보는 아래에서 다시 뵐께요--- HackSum --- 더보기
CVE-2014-0322 제로데이 취약점 이번 CVE-2014-0322 제로데이 취약점 공격 파일은 지난 CVE-2012-4969 취약점과 유사한 형태로 html 과 flash 파일을 이용한 복잡한 구조로 공격이 구성되어 있다. 공격은 크게 다음 3개의 파일로 구성되어 있다. 1) include.html : 위의 코드와 같이 해당 파일의 puIHa3() 함수 안에는 CVE-2014-0322 use-after-free 취약점을 발생시키는 코드를 가지고 있다. : 해당 파일 하단에는 위와 같이 "Tope.swf" 파일이라는 플래쉬 파일이 하나 달려있다. 그렇다면, 해당 파일이 무엇을 하는 녀석인지 확인하러 가보자. 2) Tope.swf : Flash 파일 안에는 위와 같이 ExternalInterface 를 이용하여 puIHa3() 함수를 호출하는.. 더보기
CVE-2013-3893 IE zeroday 취약점 분석 # CVE Number :CVE-2013-3893 # MS Advisory :MS13-086 # 취약점 종류 :IE Use-After-Free 코드 실행 취약점 취약점원인(PoC) 분석Use-After-Free 취약점은 이미 해제된 메모리를 참조하는 것으로 인하여 발생하는 취약점이다. 따라서, 취약점 분석은 원인이 되는 메모리의 생성(Create), 해제(Free), 참조(Use) 흐름을 분석한다. 본 분석에서는 Windbg 디버거와GFlag 가 사용된다. >> 취약점 PoC코드 >개체 생성(Create) Reference 6360fdf6eax=0495b288 ex=0033a320 ecx=635ba8c0 edx=03b7fb7c esi=636397e4 edi=63662c78eip=63662dca esp=0.. 더보기
[소식] 9.11 악성코드 배포 안녕하세요.. RedHidden 입니다..아주 오랜만에 제 블로그에 출연하네요.. ^^;;; 오늘이 잊고 있었던 9.11 테러 발생한 날이더군요.. ㅠ_ㅠ 9.11 에 맞춰서 천사가 활동을 게시했네요... 저도 활동중~~ .... 주의를 요합니다 !!! 제 활동 말고요.. ㅋㅋㅋㅋ 최근 국내무대를 기반으로 가장 활발하게 활동하고 있는 2개의 Web Exploit Toolkit 이 있습니다. Gongdad Pack(일명, 공다팩), Chinese Kit (일명, CK) 오늘 9.11 기념으로 활동하는 녀석은 CK 이고, 파일명도 911.html, 911.exe 로 배포되고 있습니다. -> hxxp://xxx.xxx.xxx.xxx/js/wr.html -> hxxp://xxx.xxx.xxx.28/911.htm.. 더보기
[열네번째 거짓말] CVE-2012-0754 취약점 분석 흠.. 안녕하세요.. RedHidden 입니다. 너무 오랜만에 글을 올리는 거라 ..... 저도 낯설게 느껴집니다.... 간만에 분석된 Flash 취약점 관련 블로깅을 시작해보도록 하겠습니다. 이번 취약점은 CVE-2012-0754 취약점입니다. 상세한 파일의 정보들은 Contagio 블로그에 잘 게시되어 있습니다. 참고하시기 바랍니다. 이번에 알려진 해당 취약점 공격은 "Iran's Oil and Nuclear Situation" 이라는 제목으로 첨부된 워드 문서부터 시작되었다고 합니다. 물론, 영문서이고 제목을 보아하니 국내보다는 해외를 노린 것으로 보이지만, 관련 취약점을 이용하는 국내 악성 문서들을 종종 발견되고 있다고 하니 관심이 필요할 것 같습니다. 간단하게 말하면, 이제 우리가 분석해야할 것.. 더보기
가을에 만나는 소중한 컨퍼런스 정보 너무 오랜만에 새글을 올려보네요.. ^^;; 오늘은 취약점 분석 내용은 아니고 소식 전달이라고 할까요??? 이번 가을에는 쟁쟁한 컨퍼런스들이 국내에서 많이 열립니다. Ahnlab CORE 2011 http://ahnlabcore.co.kr/ 소프트웨어 개발자들을 위한 전문 컨퍼런스라고 하니 그 동안 보안에 관심있던 개발자님들을 비롯한 많은 보안인들이 두루두루 참석하시면 좋은 정보 얻을 수 있을 것 같습니다. 소문에 의하면 안랩에서 처음으로 주최하는 유료 컨퍼런스이다 보니 쟁쟁한 발표자님들이 섭외되었다고 하니 유료라고 해도 아깝지 않은 먼가 얻어가지 않을까요?? ^^;; 날짜 : 2011.10.25(화) - 1일 장소 : 양재동 엘타얼 메리골드홀 A, B (5층) Ahnlab Security WAVE h.. 더보기
2011.08.26(금) - RedHidden's Today # 들어서 잠금해제 iOS 대표적 Lock 해제방법 "밀어서 잠금해제" .. 한때 갖가지 재밌는 밀어서 잠금해제버전이 나왔었지.. Cydia 앱중에 "밀어서 잠금해제" 대신 "들어서 잠금해제" 하는 앱이 나왔다고 하네.. ㅋㅋ 동영상 보니깐 간지~ 난다.. 하지만, 아직 iPhone 용만 나오고 iPad용은 나오지 않았다는 아쉬움... 나오면 나도 사용해봐야지.. [출처] http://ryueyes11.tistory.com/1029 # [출처] 행복한 경영이야기 - 책임을 나눠줄때 책임의식이 생긴다. CEO는 일을 하는 사람이 아니라 나눠주는 사람이다. CEO는 책임지는 사람이 아니라 책임을 나눠주는 사람이다. ‘내가 다 책임질게 하라는 대로 해!’라고 하는 것은 직원을 노예로 만드는 것이다. 책임을 나.. 더보기
vSphere 4 - x64 Guest OS 설치시 오류 해결 Q. vSpherer 4 시스템에서 x64 Guest OS 를 설치하는 과정에서 다음과 같은 오류가 발생하는 경우를 만나셨나요??? This CPU is VT-capable, but VT is not evabled (check your BIOS/firmware settings). You have configured this virtual machine to use a 64-bit guest operation system. However, this host’s CPU is not capable of running 64-bit virtual machines or this virtual machine has 64-bit support disabled. For more detailed information, s.. 더보기
[열한번째 거짓말] CVE-2011-2110 Adobe Flash 취약점 이번 Adobe Flash 제로데이 취약점 악성 SWF 파일의 전체적인 동작원리는 다음과 같습니다. 1) 파라미터 "info=" 를 통해 URL 획득 2) URL Request(hxxp://[서버주소]/ss.txt) 를 통해 Size: 34790 데이터를 받아옴 받아온 파일을 디코딩하고 나면 PE 파일이됨 3) 최종적으로 메모리 상에 올라오는 쉘코드의 동작은 - %temp% 폴더에 scvhost.exe 파일을 생성 - 받아온 PE 파일을 scvhost.exe 파일에 Write - 해당 파일을 Exec (cmd.exe /c scvhost.exe) 악성 SWF 파일은 다음과 같이 웹 사이트에 삽입되어 있습니다. 해당 악성 SWF 파일이 요청하는 URL과 URL을 통해서 받아오는 PE을 추출하기 위한 Deco.. 더보기
[열두번째 거짓말] CVE-2011-1255 MS11-050 MS time element 취약점 최근 Flash 취약점이 맹~강세를 떨치고 있네요.. 그래서인지 새롭게 악용되기 시작하는 MS IE 취약점은 상대적으로 관심에서 밀리는 걸까요??? 서서히 침해사례들이 보고되고 있습니다.. 간단히 정리해봅니다.. ^^ CVE-2011-1255 MS11-050 Time Element Memory Corruption 취약점 http://www.microsoft.com/technet/security/Bulletin/MS11-050.mspx # 악성 스크립트 코드 # EIP 변경지점 제가 테스트한 환경은 Windows XP SP2 + IE6 으로, 취약점은 발생하나 쉘코드 실행까지는 완벽하게 재현되지가 않더군요.. 아마두, ShellCode 에 사용된 고정주소(msvcrt.dll) 때문에 더 이상 진행이 되지 .. 더보기